Investigadores de ciberseguridad han descubierto aplicaciones fraudulentas en la **Google Play Store** oficial para Android que afirmaban falsamente ofrecer acceso a historiales de llamadas de cualquier número telefónico, solo para engañar a los usuarios y hacerlos suscribirse a un servicio que proporcionaba datos falsos y generaba pérdidas financieras. Las 28 aplicaciones acumularon colectivamente más de 7.3 millones de descargas, con una de ellas sola representando más de 3 millones de descargas, antes de ser retiradas de la tienda de aplicaciones oficial. La actividad, denominada **CallPhantom** por la empresa eslovaca de ciberseguridad **ESET**, se dirigió principalmente a usuarios de Android en India y la región de Asia-Pacífico. "Las aplicaciones infractoras, a las que llamamos CallPhantom basándonos en sus afirmaciones falsas, pretenden proporcionar acceso a historiales de llamadas, registros de SMS e incluso registros de llamadas de WhatsApp para cualquier número telefónico", dijo el investigador de seguridad de **ESET**, Lukáš Štefanko, en un informe compartido con The Hacker News. "Para desbloquear esta supuesta función, se les pide a los usuarios que paguen, pero todo lo que reciben a cambio son datos generados aleatoriamente".  ### Lista de Aplicaciones Identificadas La lista de aplicaciones identificadas incluye: * Call history : any number deta (calldetaila.ndcallhisto.rytogetan.ynumber) * Call History of Any Number (com.pixelxinnovation.manager) * Call Details of Any Number (com.app.call.detail.history) * Call History Any Number Detail (sc.call.ofany.mobiledetail) * Call History Any Number Detail (com.cddhaduk.callerid.block.contact) * Call History Of Any Number (com.basehistory.historydownloading) * Call History of Any Numbers (com.call.of.any.number) * Call History Of Any Number (com.rajni.callhistory) * Call History Any Number Detail (com.callhistory.calldetails.callerids.callerhistory.callhostoryanynumber.getcall.history.callhistorymanager) * Call History Any Number Detail (com.callinformative.instantcallhistory.callhistorybluethem.callinfo) * Call History Any Number detail (com.call.detail.caller.history) * Call History Any Number Detail (com.anycallinformation.datadetailswho.callinfo.numberfinder) * Call History Any Number Detail (com.callhistory.callhistoryyourgf) * Call History Any Number (com.calldetails.smshistory.callhistoryofanynumber) * Call History Any Number Detail (com.callhistory.anynumber.chapfvor.history) * Call History of Any Number (com.callhistory.callhistoryany.call) * Call History Any Number Detail (com.name.factor) * Call History Of Any Number (com.getanynumberofcallhistory.callhistoryofanynumber.findcalldetailsofanynumber) * Call History Of Any Number (com.chdev.callhistory) * Phone Call History Tracker (com.phone.call.history.tracke) * Call History- Any Number Deta (com.pdf.maker.pdfreader.pdfscanner) * Call History Of Any Number (com.any.numbers.calls.history) * Call History Any Number Detail (com.callapp.historyero) * Call History - Any Number Data (all.callhistory.detail) * Call History For Any Number (com.easyranktools.callhistoryforanynumber) * Call History of Numbers (com.sbpinfotech.findlocationofanynumber) * Call History of Any Number (callhistoryeditor.callhistory.numberdetails.calleridlocator) * Call History Pro (com.all_historydownload.anynumber.callhistorybackup)  ### Tácticas Engañosas Al menos una de las aplicaciones señaladas fue publicada bajo el nombre de desarrollador "Indian gov.in" en un intento por generar una falsa sensación de confianza y engañar a usuarios desprevenidos para que la descargaran. Se pide a las víctimas que realicen un pago para ver los detalles del historial de llamadas y SMS de un número telefónico. Una vez realizado el pago, se les presentan números telefónicos y nombres completamente fabricados, incrustados directamente en el código fuente. La evidencia indica que la actividad podría haber estado activa desde al menos noviembre de 2025. Se encontró que un segundo grupo de estas aplicaciones solicita a los usuarios que ingresen su dirección de correo electrónico, a la cual se supuestamente se entregarían los detalles de cualquier número telefónico. Al igual que en el caso anterior, no se genera ningún dato hasta que se realiza un pago. ### Métodos de Pago y Violaciones de Políticas Los pagos se basan en suscripciones a través del sistema de facturación oficial de la **Google Play Store** o mediante aplicaciones de terceros que admiten Unified Payments Interface (**UPI**), un sistema de pago instantáneo ampliamente utilizado en India. Irónicamente, esta lista incluye **Google Pay**, **PhonePe** (respaldado por **Walmart**) y **Paytm**. Un tercer método incluye formularios de pago con tarjeta directamente dentro de las aplicaciones. Los dos últimos enfoques violan la política de **Google**. En al menos un caso, las aplicaciones implementaron un truco adicional para convencer al usuario de realizar un pago. Si salían de la aplicación sin realizar ningún pago, se mostraba una notificación engañosa que afirmaba que el historial de llamadas de un número telefónico determinado se había enviado exitosamente a su dirección de correo electrónico. Hacer clic en la notificación llevaba directamente al usuario a una pantalla de suscripción. Los planes de suscripción varían entre las aplicaciones, desde aproximadamente $6 hasta $80. Los usuarios que hayan caído presa de la estafa deberían haber tenido sus suscripciones canceladas después de que las aplicaciones fueran eliminadas de la **Google Play Store**. Lo que hace notable esta actividad es que las aplicaciones tienen una interfaz de usuario simple y no solicitan ningún permiso sensible. Y para colmo, ni siquiera contienen ninguna funcionalidad para recuperar datos de llamadas, SMS o WhatsApp. "Los usuarios que se suscribieron a través de la facturación oficial de **Google Play** pueden ser elegibles para reembolsos bajo las políticas de reembolso de **Google**", dijo **ESET**. "Las compras realizadas a través de aplicaciones de pago de terceros o mediante entrada directa de tarjeta de pago no pueden ser reembolsadas por **Google**, dejando a los usuarios dependientes de proveedores de pago externos o desarrolladores". ### Campaña GoldFactory La divulgación se produce mientras **Group-IB** informa que actores maliciosos han robado un estimado de $2 millones a usuarios indonesios como parte de una campaña de fraude que implicaba hacerse pasar por la plataforma fiscal del país, CoreTax, y otras marcas de confianza. La campaña, que comenzó en julio de 2025, se ha relacionado con un grupo de amenazas con motivaciones financieras llamado **GoldFactory**.  "La cadena de ataque integra sitios web de phishing, ingeniería social (WhatsApp), carga lateral de APK maliciosos y llamadas de voz fraudulentas (vishing) para lograr el compromiso total del dispositivo y la ejecución de transferencias no autorizadas", dijo **Group-IB**. A un alto nivel, estos ataques implican el uso de ingeniería social para distribuir las aplicaciones falsas a través de WhatsApp, las cuales, una vez instaladas, despliegan malware de Android como **Gigabud RAT**, **MMRat** y Taotie, capaces de recopilar datos sensibles y descargar componentes adicionales. La información robada se utiliza luego para realizar ataques de toma de control de cuentas y robo financiero. "La infraestructura de malware que respalda esta campaña de fraude no se limita a un solo servicio suplantado. La misma infraestructura ha sido observada abusando activamente de más de 16 marcas de confianza, apuntando colectivamente a la población más amplia de Indonesia de aproximadamente 287 millones", dijo **Group-IB**.